こんにちは, [XSS] さん!
括弧抜きで XSS するのは難しいですよね。
inject
src
<script src="hook.js"></script>
<?php
// by escaping the payload you won't break this system, haha! :-)
$escaped = preg_replace("/[()]/", "", $_GET['payload']);
$escaped = preg_replace("/.*[oO].*[nN].*/", "", $escaped);
?>
<h1> こんにちは, <?= $escaped ?> さん!</h1>
括弧抜きで XSS するのは難しいですよね。
<h1> inject </h1>
<form>
<input type="text" name="payload" placeholder="your payload here">
<input type="submit" value="GO">
</form>
<h1> src </h1>
<?php highlight_string(file_get_contents(basename(__FILE__))); ?>